分散型金融(DeFi)プロトコルは、2025年4月に15件の ハッキング事件 にわたって9,250万ドルを失いました。 ブロックチェーンセキュリティ企業Immunefiの最新の月次レポートによれば、 これは2024年4月に比べて前年同期比で27.3%増加し、2025年3月の損失 4,140万ドルを大幅に上回っています。
この問題の急増 は、DeFiの技術基盤が未だに高い注目を浴びた悪用や サイバーセキュリティ専門家からの再三の警告にもかかわらず 危険な脆弱性を抱えているというセキュリティ専門家の間での 増え続ける共通認識を強化しています。 4月の数値はさらに憂慮すべき統計に寄与しています。 2025年におけるハッキングや悪用による総暗号通貨損失は既に17億4,000万ドルに達し、 2024年の年間総額14億9,000万ドルをわずか4ヵ月で超えています。
「目撃しているのは一時的なスパイクではなく、分散型プロトコルの設計、 デプロイ、維持の方法における根本的なセキュリティ危機です」と、ChainSecurityの プリンシパルリサーチャーであるMaria Chenは説明します。 「伝統的な金融システムと同じ厳密さにさらされていないコード上で、 業界はますます複雑な金融インフラを構築しています。」
4月の悪用は主に確立されたブロックチェーンネットワークが対象で、 100%の攻撃が技術的な悪用として分類されました。 15件の文書化された事件の中で、いくつかはその規模と使用された洗練された 攻撃ベクターで際立っています:
UPCXプロトコル: 7,000万ドル
その月最大の侵害が影響したのは、2024年後半のローンチ以来 総ロックバリュー(TVL)で3億ドル以上を蓄積したクロスチェーン ペイメントプロトコルであるUPCXです。 4月12日、攻撃者はプロトコルのクロスチェーンメッセージ 検証メカニズムの重大な脆弱性を特定しました。
ブロックチェーンインテリジェンス企業Chainalysisの 初期フォレンジック分析によれば、悪用はUPCXが異なる EVM互換チェーン間で取引署名を検証する方法における 微妙な欠陥を利用しました。 攻撃者はネットワーク渋滞が大きい時期に精密な攻撃を実行し、 複数の流動性プールからの不正な引き出しを認証するために 検証ステップをバイパスしました。
「UPCXの攻撃は、クロスチェーンブリッジがエコシステムの 中で最も脆弱なインフラの一部であることを示している」 と、Optimism Security Labsの創業者である Thomas Walton-Pocockは指摘します。 「2022年のWormholeやRoninのハックに遡る 多くの歴史的な橋の悪用例にもかかわらず、プロジェクトは セキュアなクロスチェーンメッセージングの複雑さを過小評価し続けています。」
UPCXは、影響を受けたユーザーに対する補償計画を発表しましたが、 詳細は調査が継続中であるため保留されています。
KiloEx: 750万ドル
オプション取引に特化した分散型取引所KiloExは、 4月19日に複雑な価格オラクル操作攻撃を通じて750万ドルを失いました。 攻撃者は、KiloExのリファレンスマーケットの一つで一時的な流動性 減少を利用して、KETH/ETHオプション契約の価格を操作しました。
複数の会場での一連の協調取引を通じてオラクル価格を人工的に下げた後、 KiloExの自動清算メカニズムを活用して、 オラクル価格が回復する前に大幅に割引されたオプション契約を購入しました。
「オラクル攻撃はますます計画的になっています」と、 Paradigmの著名なセキュリティ研究者であるSamczsun氏は観察しています。 「今日の攻撃者は市場の微細構造を理解しており、 個々のシステムの規則を技術的には違反しないが、 依然として相互接続されたプロトコル間で利用可能な裁定機会を作り出す 条件をオーケストレーションできます。」
その他の重要な事件
残りの4月の悪用で計1500万ドルの損失を占めました:
- Loopscale: 貸付契約のリエントランシー脆弱性を悪用され、 580万ドルが失われました。
- ZKsync: ゼロ知識証明検証回路の欠陥を通じて 500万ドルが流出しました。
- Term Labs: スマートコントラクト相互作用での未チェックの 戻り値を介して150万ドルが盗まれました。
- Bitcoin Mission: アクセス管理の不備によりラップされたBTCで 130万ドルが取られました。
- The Roar: フラッシュローン操作で79万ドルが失われました。
- Impermax: 報酬計算の精密な丸め誤差を介して15万2,000ドルが 流出しました。
- Zora: メタデータ操作を介して14万ドルのNFT資産が危険にさらされました。
- ACB: 保護されていない初期化機能により84,000ドルが失われました。
イーサリアムが依然として主要なターゲット
ブロックチェーンネットワーク全体での攻撃の分布は、 確立されたエコシステムでも持続的な脆弱性を示しています。 イーサリアムは依然として主要なターゲットであり、 全体の33.3%にあたる5件の事件が発生しました。一方、BNBチェーンは 4件の攻撃を受け、26.7%を占めました。Coinbaseのレイヤー2ソリューションである Baseは3つの重大な悪用を受け(20%)、比較的新しいネットワークに関する 懸念されるトレンドを示しています。
「攻撃者はお金があるところに行くが、同様に 利用可能な統合ポイントを持つネットワークを優先します」と、MITの 暗号学教授Dr. Jenna Rodriguezは説明します。 「イーサリアムの支配的なTVLは永遠のターゲットにしていますが、 戦場テストされていない新しい技術を実装しているため、 レイヤー2ネットワークのようなBaseに対する注目が高まっています。」
残りの事件はArbitrum、Solana、Sonic、ZKsyncに影響を与えており、 いかなるブロックチェーンエコシステムでもセキュリティ侵害が 生じ得ることを示しています。Solanaの単一の事件は、前年度に 複数の注目を集めた悪用に苦しんだ時に比べて 重要な改善を示しています。
過去の文脈
4月の数値の深刻さを完全に理解するには、歴史的な文脈が欠かせません。 ChainalysisとCipherTraceのデータは、ハッキングによる 年間暗号損失が心配な軌道に沿ってきていることを示しています:
- 2019年: 3億7,000万ドル
- 2020年: 5億2,000万ドル
- 2021年: 32億ドル
- 2022年: 38億ドル
- 2023年: 17億ドル
- 2024年: 14億9,000万ドル
- 2025年(1月-4月): 17億4,000万ドル
今年の加速ペースは、Terra/Lunaの崩壊とその後の波及効果が エコシステム全体に前例のない脆弱性を作り出した2022年に 記録が設定されたときの猛烈な状況を超える可能性があります。
「特に心配な点は、現在の悪用の波が市場の安定期間に発生していることです」と、 Aaveの元セキュリティリーダーであるMichael Lewellenは指摘します。 「2022年の市場混乱や清算連鎖反応とは異なり、例外的な状況が作り出した 攻撃が成功しているのは通常条件下で動作しているプロトコルに対してです。」
2025年第1四半期: 4月の急増の舞台を整える
4月の悪用は既に壊滅的な第1四半期に基づいていました。 年の始まりは、暗号通貨の最大の単一ハックの一つで幕を開けました。 大手集中取引所であるBybitが、ハッカーが複数のホットウォレット プライベートキーを侵害した後、14億6,000万ドルを失いました。 技術的にはDeFiの悪用ではないが、Bybit事件は広範な 暗号エコシステム全体の保管解決策の持続的な弱点を明らかにしました。
その他の主要な第1四半期の悪用には以下のものがあります:
- Infini Protocol: 複数の貸付プラットフォームを含む 複雑な裁定攻撃を通じて5,000万ドルを失いました。
- zkLend: 担保価値を操作するフラッシュローン攻撃を通じて 950万ドルが盗まれました。
- Ionic: ソーシャルエンジニアリングを通じて特権 機能にアクセスした後、850万ドルが流出しました。
4月の数値と組み合わせると、これらの事件はますます 洗練された脅威に対して自己防衛を行うことに苦労している産業の姿を 描いています。 以下の内容を英語から日本語に翻訳してください。マークダウンリンクは翻訳せずにそのままにしてください。
内容: 検証
「私たちは、プロトコルが1年前と比べてはるかに徹底した監査を要求しているのを目の当たりにしています」と、セキュリティ会社Ottersecの創設者Yan Michalevskyは報告しています。「プロジェクトは通常、複数の独立した監査、適用可能な場合の形式検証、展開前の経済シミュレーションを受けています。」
保険ソリューション
Nexus MutualやInsurAceのようなオンチェーン保険プロトコルは、カバレッジオプションを拡大していますが、保険料はクレームの頻度が増加したことに応じて大幅に増加しました。2025年5月現在、約5億ドルのDeFi資産が何らかの形でのエクスプロイトカバレッジを持っていますが、それでもDeFi全体のTVLの1%未満を占めています。
バグバウンティのエスカレーション
Immunefiは、バグバウンティ報酬が前年比で平均64%増加したと報告しており、重大な脆弱性に対する最大の支払いが現在100万ドルを超えることが定常的になっています。2025年3月には、ホワイトハットハッカーがUniswap V4の重大な脆弱性を特定したことで暗号通貨の歴史上最大のバグバウンティ支払いである250万ドルを受け取りました。
規制への注目
世界中の規制当局はこのセキュリティ危機に注目しています。2025年初頭に完全に実施された欧州連合の暗号資産市場(MiCA)フレームワークは、ヨーロッパ圏で運営されるDeFiプロトコルが最低限のセキュリティ基準を満たすことを要求しています。
アメリカ合衆国では、SECは未登録証券を提供していると見なされるプロトコルに対する法執行措置の追加の正当化としてセキュリティ違反を利用しています。SEC議長のGary Genslerは最近「これらのハッキングの頻度は、投資家保護をこれらの新しい金融商品に拡張する必要性を正に示しています」と述べました。
技術的な予防策: 未来への道
セキュリティ専門家たちは、DeFiの脆弱性の根本原因に対処するために必要な技術的改善点について広く一致しています:
形式検証
仕様に対するコードの正しさを数学的に証明する形式検証技術は、コアプロトコルのコンポーネントにとってますます重要視されています。資源が必要ですが、形式検証は脆弱性のクラスを完全に排除することができます。
「業界は、監査とリリースモデルから数学的に証明されたセキュリティ保証へと進む必要があります」と、Zeppelin Solutionsの創設者Manuel Araozは主張しています。「数十億のユーザー資金を扱うプロトコルにとって、形式検証以外は受け入れられないはずです。」
分散型セキュリティモニタリング
異常な取引パターンを検出できるランタイムモニタリングシステムが注目されています。Forta Networkのようなプロトコルは、複数のチェーンにわたる疑わしい活動をフラグとして登録できる分散型モニタリングを提供し、緊急時の対応を迅速にする可能性があります。
タイムロックとサーキットブレーカー
重大な資金移動に対する強制的な遅延や異常な状況下でのプロトコルの自動停止を実施することで、将来のエクスプロイトの影響を軽減することができます。
標準化されたセキュリティフレームワーク
Open ZeppelinのDeFi Security AllianceやEthereum FoundationのSmart Contract Security Consortiumを含むいくつかの業界グループが、DeFiに特化した標準化されたセキュリティフレームワークを開発しています。
イノベーションとセキュリティのバランス
2025年4月のエクスプロイト数は、暗号通貨のセキュリティ課題が依然として急を要するものであることを鮮明に示しています。2024年全体をすでに上回る17億4000万ドルの損失を年初から経験している中、業界は重大な転換点に直面しています。
「DeFiが直面している根本的な課題は技術的なものではなく文化的なものです」と、Dr. Narulaは結論付けています。「業界はセキュリティよりもイノベーションの速度を優先しており、そのバランスが変わらない限り、この種の見出しを見続けることになるでしょう。」
DeFiが主流の採用と機関の参加を実現するためには、これらのプロトコルが引き受けた巨額な金融責任に匹敵するセキュリティ慣行が成熟する必要があります。暗号通貨の急速な進化を駆動した無許可のイノベーションは、数十億のユーザーファンドを扱う金融インフラに適した厳格なセキュリティ慣行とバランスを取らなければなりません。
業界が2025年の2期目に入る中、プロトコルがDeFiを革新的たらしめるオープン性と相互運用性を犠牲にすることなく、より強固なセキュリティ対策を実施できるかどうかに注目が集まっています。この技術的および文化的な挑戦の結果は、分散型金融が革新的なグローバル金融システムとなるか、常に悪用の危険にさらされたままであるかを決定することになるでしょう。